绑定飞书

本文介绍绑定飞书的操作步骤和常见用法。

流程概述

绑定飞书到IDaaS只需要四步:

  1. 应用权限配置:在飞书开放平台为您的应用配置必要的权限,确保能够访问所需的数据和功能。

  2. 开发配置:在IDaaS控制台进行开发相关配置,包括设置回调地址和应用凭证等信息。

  3. 选择场景:根据您的业务需求,选择适合的集成场景和认证方式。

  4. 字段映射:配置飞书用户属性与IDaaS用户属性的映射关系,确保用户数据能够正确同步。

实现场景

绑定飞书后,您可以使用下述能力。

分类

实现能力

账户

  • 将飞书通讯录数据全量同步到IDaaS EIAM(包含定时校验)。

登录

  • 使用飞书扫码登录IDaaS EIAM或其中的应用。

  • 在飞书工作台免登到IDaaS EIAM或其中的应用。

绑定飞书

身份提供方菜单中,单击其他身份提供方 > 飞书,即可开始绑定流程。

image

第一步:应用权限配置

重要

飞书对应用权限有较为细致的要求,部分权限需要管理员审批并发布应用后才可生效,您可能需要企业其他管理员协助。缺少权限将无法使用数据同步等能力,建议完成本步骤权限配置后,再进行后续绑定操作。

  1. 创建飞书应用

    1. 前往飞书开放平台,登录开发者后台,在开发者后台中创建企业自建应用。

      image

    2. 完成创建后,将自动进入飞书应用详情页。单击凭证与基础信息菜单,获取App IDApp Secret,并填写到IDaaS中。

      image

  2. 将获取的App IDApp Secret填写到IDaaS中。image

  3. 在飞书应用详情页,单击权限管理 > 开通权限。在通讯录中,分别进行如下授权。这些均属于通讯录的查询权限,以实现数据同步和用户登录。image

    权限名称

    权限值

    特殊说明

    获取通讯录基本信息

    contact:contact.base:readonly

    --

    获取用户user ID

    contact:user.employee_id:readonly

    --

    获取部门基础信息

    contact:department.base:readonly

    --

    获取通讯录部门组织架构信息

    contact:department.organize:readonly

    申请权限后需提交版本发布申请并通过审核才可生效。

    获取用户基本信息

    contact:user.base:readonly

    --

    获取用户组织架构信息

    contact:user.department:readonly

    申请权限后需提交版本发布申请并通过审核才可生效。

    获取用户邮箱信息

    contact:user.email:readonly

    该权限非强制要求,只有您希望同步该字段数据到IDaaS时才需开通。

    获取用户手机号

    contact:user.phone:readonly

    申请权限后需提交版本发布申请并通过审核才可生效。

    该权限非强制要求,只有您希望同步该字段数据到IDaaS时才需开通。

    说明

    提交发布申请后,将在飞书中通知管理员,管理员需要在飞书管理后台中进行审核。

  4. 开通飞书数据权限

    1. 权限管理中,单击可访问的数据范围进行数据权限配置

      image

    2. 根据实际需求选择权限。这个范围决定哪些用户、组织数据可以同步到IDaaS并使用飞书登录。image

  5. IDaaS中提交。完成上述权限配置后,在IDaaS中单击下一步,IDaaS将检查对应的API权限和数据权限。具备所有必需的权限后,即可进入到下一步。

    image

第二步:开发配置

  1. 填写基础信息

    1. 填写显示名称

      image

    2. 填写企业编号。企业编号需要在飞书管理后台中获取。

      image

  2. 配置开发信息。

    1. 重定向 URL。

      1. IDaaS侧查看。该地址用于处理用户登录请求。image

      2. 飞书配置。在飞书应用详情的安全设置 > 重定向 URL中填入URL。填写完成后,单击添加按钮。image

    2. 应用主页。

      1. IDaaS侧查看。如果您希望用户在飞书工作台中可以免登到IDaaS用户门户,则需要配置该主页。image

      2. 飞书配置。请在飞书应用详情的添加应用能力中,添加网页应用image

        完成添加后,在桌面端主页和移动端主页中填入该URL。image

    3. IP 白名单。

      1. IDaaS侧查看image

        • 共享端点:共享端点是EIAM实例进行网络访问时默认使用的网络端点,所有EIAM实例共用。仅支持访问公网。

        • 专属端点:专属端点是您的EIAM实例独享的网络端点。通过专属端点,您可以使用专属的IP实现飞书的数据同步和委托认证,专属端点介绍请参考:网络端点

      2. 飞书配置。若您希望网络有请求IP限制,请复制IDaaS的出口IP列表,加入飞书应用安全设置 > IP 白名单中,通过批量修改填写。image

第三步:选择场景

选择希望使用的场景能力。image

能力说明

  • 同步目标:在下拉框选择阿里云IDaaS,飞书的通讯录数据将会导入到IDaaS的这个节点之下。

  • 定时校验:IDaaS默认每天凌晨自动全量同步飞书数据,确保两端数据一致。通过字段映射可指定IDaaS账户与飞书用户的匹配规则(如账户名对应userid),匹配成功则更新绑定,否则新建账户。若需实时同步,可手动触发全量任务。系统内置保护机制,当检测到删除超过30个账户或10个组织时自动终止同步,避免误删,建议根据企业规模调整阈值。

  • 定时校验周期:同步周期设置为每日一次,支持通过Cron表达式自定义时间。IDaaS在同步过程中内置保护机制,当检测到大量账户或组织删除操作(如超过30个账户或10个组织)时,自动终止任务以避免误删。

  • 增量同步:该功能默认关闭,需在完成绑定后手动开启。若未配置事件通知,则无法启用增量同步。用户需在添加流程或修改流程中调整相关设置以激活此功能。

    • 身份提供方页面定位到创建的飞书应用,单击修改

    • 在事件配置处填写Encrypt KeyVerification Token。获取方式在飞书应用详情的事件与回调 > 加密策略imageimage

    • 请求地址输入飞书应用详情的事件与回调 > 事件配置,在事件发送至开发者服务器的请求地址中填入该 URL。image

  • 扫码登录:开启后,IDaaS登录页面将提供飞书扫码登录选项,用户可直接扫码完成认证。若配置了应用主页,还支持从飞书工作台免登访问IDaaS,提升使用便捷性。

第四步:字段映射

如果您在IDaaS中已存在存量数据,需要飞书成员/部门和IDaaS账户/组织绑定,或者希望使用飞书中成员的某些字段数据作为IDaaS账户的数据,例如将飞书用户的姓名作为IDaaS账户的显示名,则需要在此步骤配置字段映射。

image

重要

飞书中的用户ID(即userid)作为飞书用户的唯一标识,可以被修改。由于此字段是IDaaS能唯一依赖的主键,如果该字段被修改,将导致对应的IDaaS账户被删除并重新创建,请谨慎修改。

管理飞书身份提供方

完成绑定后,会自动跳转到身份提供方菜单中。您可在此处对与身份提供方联动的不同功能进行管理。

image